業界に求められるサイバーセキュリティの考え方…PwCコンサルティング合同会社パートナー丸山満彦氏［インタビュー］

道路車両運送法および保安基準が見直され、自動車にもセキュリティ対策が必須となる。自動運行装置を備える車両については、すでにセキュリティ要件の適用が義務付けられているが、7月1日からはOTAに対応している新型車両も対象になり、24年以降、継続生産車両、OTA非対応の車両も対象になる。

セキュリティについての基本的な考え方

業界の対応は適宜進んでいると思われるが、頂点のOEMを含むサプライチェーン全体にセキュリティ対策や意識が浸透するにはまだ時間が必要かもしれない。自動車業界において、「セキュリティ」といえば盗難対策であり、「信頼性」はハードウェアや機構の安全性と直結していた。事務処理や業務においてサイバーセキュリティの認識はあっても、製品（自動車）のサイバーセキュリティへの認識はどうだろうか。自分の部署、製造している部品がコネクテッドと関係ないからと、自動車セキュリティを他人事で済ませられる時代ではなくなっている現実がある。

10月25日に開催されるオンラインセミナー「コネクテッドカーのサイバーセキュリティ対策～今とこれから～」で、PwCコンサルティングパートナーの丸山満彦氏が自動車のサイバーセキュリティでの基本的な考え方を解説する。丸山氏によれば、「自動車や金融など分野別のセキュリティは必要だが、その前提となるセキュリティ管理の考え方、必要な対策などは業種や業界を越えて共通点が多い」という。言い方を変えれば、セキュリティ管理の基本を理解していれば、自社、自分の業務に適用する方法が見えてくる。セミナーでは、根本的なサイバーセキュリティの考え方やフレームワークを解説し、そのうえで自動車業界における対策のポイントなどを伝授するという。

サプライチェーン全体で考えるセキュリティ

自動車のサイバーセキュリティは何年も前から議論されており、業界もさまざまな取り組みを行ってきている。国土交通省、経済産業省、総務省（通信関係）、そして日本自動車工業会でも研究、標準化の議論、ガイドライン作成など取り組みが進む。テーマやトピックごとに分科会・作業部会も存在する。しかし、それらは省庁のプロジェクトやコンソーシアムの枠組みでの話で、比較的上流での取り組みが中心である。業界サプライチェーン全体への認知はまだ始まったばかりだ。

なぜ、セキュリティに関する全体の意識合わせやリテラシーの確保が必要なのか。

例えば、海外の現地拠点や工場がランサムウェアによって操業停止に陥るインシデントが実際に発生している。昨今の高度に管理されたジャストインタイムで運用されるサプライチェーンにおいて、ネジ1本の欠品が連鎖して本社の完成車ラインが止まることもある。また、攻撃者視点でいえば、サプライチェーンの中にセキュリティの弱い部分があれば狙いどころだ。チェーンの末端であっても、ハッカーたちには本丸（本社）に届く足がかりになる。

車両におけるソフトウェアの重要度がますます高まっており、コネクテッドカーになれば外部ネットワーク（インターネットやOEMが管理する車両データなどのクラウドプラットフォーム）と常時接続することにもなる。リスク要因は車両の高度化、付加価値の拡大に応じて広がっていく。

国際的枠組みWP29での取り組み

そのため、

「車載ソフトウェアやクラウド上のソフトウェアにバグや脆弱性（セキュリティホール）があり、システム障害やデータ漏洩があったとき、最悪は人命にもかかわる問題になる。そのとき、メーカーやサプライヤーはどう対処すればいいのか、そうならないようにどうすればいいのか。こういった決め事、ルールがWP29によって議論がされた（丸山氏）。」

WP29では、ISO/SAE 21434（サイバーセキュリティ国際標準）やISO 24089(ソフトウェアアップデート）の検討と時期を並行して議論が進み、各論となるUN-R155（サイバーセキュリティ管理）、UN-R156（ソフトウェアアップデート要件）、UN-R157（自動車線維持システムーレベル3以上の自動運転要件）が規定された。

メーカーは、これらの国際基準や規格に沿って車両を設計・製造・販売する必要がある。求められるセキュリティ要件は、車両の設計段階から販売後の運用フェーズ、最終的には廃棄されるまでの製品ライフサイクルを通じて適用される。問題は、新しい道路運送車両法、保安基準は、WP29での議論やそれをベースとした国際規格UN-R155ほかを前提としていることだ。設計段階から車両にサイバーセキュリティを考慮した機能や対策を用意しなければならない。規定にそぐわない車両は型式指定を受けられない。つまり販売ができないことになる。

UNR-155は、組織的な体制づくり、業務プロセスへのセキュリティ対策他を組み込むことを求めている。サプライチェーン全体が対象となるため、OEMだけがセキュリティ体制、業務プロセスを対応させればいいというわけではない。対象がサプライチェーン全体となると末端の中小企業も基準をクリアする必要がある。

UN-R156が規定するソフトウェアアップデートの要件は、脆弱性が見つかった際にも必要となる、車載ソフトウェアの更新に関する内容であり、自動車業界ではなじみのない業務も発生させる。

メーカーもサプライヤーもサイバーセキュリティに向き合う姿勢が重要

「コネクテッドカーやこれからの車両は、モデルチェンジや年次改良以外、出荷後に発見されるソフトウェアのバグや脆弱性の改修、アップデートを適切に処理しなければならない。リコールにまで発展する可能性も考慮する必要がある。リコールにするほどでもないものについては、車検時の対応でいいのか、それとも定期的なアップデートの仕組みを作るのか、など考慮すべき点は多い（丸山氏）」

サプライチェーン全体の体制づくりや脆弱性の扱いは簡単ではないが、丸山氏は「OEMはサプライチェーン全体をセキュアにするため、サプライヤーとしっかり向き合うことが重要。押し付けや丸投げは禁物。サプライヤー側もOEMの意向にしっかり応える認識が必要」だという。

自動車のサイバーセキュリティは、業界全体が自分事として考えなければならない課題だ。今後、車を作り続けるためには避けて通れない。10月25日のオンラインセミナーでは、サイバーセキュリティの現在の動向と自動車業界の取り組みや課題を掘り下げていく。講師の丸山氏は、セキュリティ対策はこれから、というところには対策や体制づくりのヒントを、すでに取り組んでいるところには取り組みや仕組みの検証の材料を持ち帰ってもらいたいとした。

セミナーの申込はこちらから。